Konsultan ISO Training Pelatihan ISO Integrasi ISO Download ISO Sertifikasi ISO 9001 14001 OHSAS 18001 20000 22000 26000 27001 28000 29001 31000 50001

‘Jurus’ Bupati Batang Raih ISO 27001 soal Keamanan Data Warga dan Cegah Korupsi

‘Jurus’ Bupati Batang Raih ISO 27001 soal Keamanan Data Warga dan Cegah Korupsi

Pemkab Batang kembali meraih penghargaan ISO 27001 terkait keamanan data dan informasi. Bupati Yoyok Riyo Sudibyo mengatakan tidak mudah meraih penghargaan itu.

Yoyok mengaku punya lima “jurus” hingga akhirnya bisa mendapatkannya. Yang pertama, sejak menjabat tahun 2012 lalu, ia dengan tegas memerintahkan agar tidak ada kepala dinas yang menjembatani siapapun yang mengatasnamakan dirinya maupun keluarganya untuk mengurus apapun.

“Saya coba tahun awal menyampaikan agar seluruh kepala dinas agar tidak mengurusi atau menjembatani siapapun yang mengatasnamakan saya, keluarga saya, tim sukses saya, dan siapapun itu ditempel di meja kerja dan belakang meja kerja,” terangnya di kantor bupati, Senin (29/2/2016).

Yang kedua, membuat pakta integritas dengan Non Govermental Organization (NGO) dan lembaga yang berkomitmen untuk menjaga. Berikutnya ia mulai dengan memperbaiki sistemnya.

“Yang keempat saya coba kerjasama dengan Unnes (Universitas Negeri Semarang) agar selesai pekerjaan dicek fisik, uji lab. Tapi sebelum itu dibentengin lagi, saat keluar dari sistemnya pak Daniel adalah pemenang terbaik, maka kumpulkan. Kan dapat SPK (Surat Perintah Kerja), kumpulkan di ruangan, lah siapapun yang dapat SPK untuk pekerjaan di Kabupaten Batang maka harus buat komitmen, pakta integritas lagi. Isinya sebenarnya umum, agar dilakukan tepat waktu dan sebagainya, intinya saudara sudah mengerjakan di Kabupaten Batang dan rakyatnya Kabupaten Batang, jangan menyakiti rakyat Batang,” terang Yoyok.

“Lima benteng itu moga-moga dari teman-teman pemerintah Kabupaten lain bisa mencontoh kebaikan yang ada,” imbuhnya.

Hari ini, penghargaan ISO 27001 diserahkan. Daniel Primawanto selaku perwakilan ISO 27001 mengatakan penghargaan tersebut diberikan sesuai dengan kriteria yang berlaku secara global.

“Di luar LPSE, misal kependudukan. Informasi kita, data lahir, nama ,alamat, tempat tinggal, info itu dijaga. Pernah merasa ditelepon perusahaan meawarkan kartu kredit, mungkin teman-teman bingung dari mana mereka dapat data padahal tidak pernah berhubungan dengan bank itu. Itulah ciri-ciri adanya kebocoran informasi dan di situ sistem tidak aman, data bisa diperjualbelikan,” papar Daniel.

Selama menjabat bupati, Yoyok kerap kali menerima sejumlah penghargaan, terutama yang berhubungan dengan tata kelola pemerintahan, reformasi birokrasi dan transparansi anggaran. Di antara penghargaan itu adalah Bung Hatta Anti-Corruption Award Tahun 2015, Penghargaan Akuntabilitas Kinerja Tahun 2014 dengan predikat CC dari Kementerian Pemberdayaan Aparatur Negara, Penghargaan sebagai 10 besar terbaik kategori Kabupaten dengan Tingkat Kepatuhan terhadap Undang-Undang nomor 25 tahun 2009 tentang pelayanan publik dari Ombudsman Republik Indonesia, sampai penghargaan Adipura Tahun 2013 dan 2015.

Source:
http://news.detik.com/berita/3153532/jurus-bupati-batang-raih-iso-27001-soal-keamanan-data-warga-dan-cegah-korupsi

Konteks Organisasi Pada Sistem Manajemen Keamanan Informasi ISO 27001:2013

Konteks Organisasi Pada Sistem Manajemen Keamanan Informasi ISO 27001:2013

Konteks Organisasi adalah persyaratan baru pada standar ISO 27001:2013 yang membahas konsep turunan dari tindakan pencegahan dan menetapkan konteks untuk ISMS. Tujuan tersebut dipenuhi dengan menggambarkan isu-isu eksternal dan internal yang relevan bersama-sama, yaitu hal-hal yang mempengaruhi kemampuan organisasi untuk mencapai target keamanan yang diinginkan dari ISMS nya dengan persyaratan pihak yang berkepentingan untuk menentukan ruang lingkup ISMS.
Persyaratan terakhir yaitu Klausul 4.4 adalah untuk menetapkan, menerapkan, memelihara dan terus meningkatkan SMKI sesuai dengan
persyaratan standar.

Penyelenggaraan Keamanan Informasi di Instansi Pemerintah

Penyelenggaraan Keamanan Informasi di Instansi Pemerintah

Elemen yang paling penting dan harus menjadi perhatian awal dalam penyelenggaraan teknologi informasi di lingkungan instansi pemerintah adalah unsur manusia. Laporan Gartner Security and Risk Management Summit pada tahun 2011 menyatakan bahwa 46% dari responden mengalami beberapa bentuk ancaman insider pada organisasi mereka saat ini tetapi yang lebih mengejutkan adalah bahwa satu dari tiga profesional keamanan informasi mengakui bahwa mereka telah melanggar kebijakan keamanan internal yang mereka tetapkan sendiri ketika mereka harus menyelesaikan tugas yang berhubungan dengan pekerjaan taktis yang cepat. Produktivitas dibandingkan dengan serangan keamanan informasi terus menciptakan masalah bagi organisasi. Para pegawai, termasuk para profesional keamanan informasi akan melakukan apa saja untuk memastikan target pekerjaan mereka tercapai, terlepas dari kebijakan atau risiko keamanan. Menurut laporan bisnis terbaru dari Data Breach Investigation Report – Verizon, ancaman orang dalam adalah salah satu sumber utama kebocoran dan pencurian data. Temuan itu menunjukkan bahwa hampir satu dari tiga pelanggaran selama dua tahun terakhir datang sebagai akibat dari serangan orang dalam, dan pada tahun 2010, 93% pelanggaran insider dianggap disengaja. Angka ini naik 3% persen dibanding tahun sebelumnya.

Safety & Security Management

Safety & Security Management

Pelaku bisnis maupun organisasi pemerintahan harus memiliki kepedulian terhadap keselamatan dan kesehatan kerja, dan keamanan atas keutuhan aset-aset usaha/organisasinya. Manajemen keamanan dan keselamatan kerja ini dimaksudkan untuk memberikan manfaat ganda: mengurangi risiko, keunggulan kompetitif (melalui demonstrasi komitmen terhadap kesehatan dan keselamatan kerja), peningkatan kinerja (melalui peningkatan efisiensi operasional melalui manajemen pengurangan kecelakaan dan mengurangi downtime), dan mengurangi biaya (melalui pengurangan premi asuransi dan denda pelanggaran undang-undang).

Manfaat tersebut dapat dicapai melalui adanya kesadaran dan kompetensi, pelatihan, komunikasi, kesiapsiagaan dan tanggap darurat.

Tata Kelola TI

Tata Kelola TI

Diperlukan pendekatan proses yang terintegrasi untuk secara efektif memberikan layanan penyelenggaraan TI dalam suatu tata kelola TI yang baik dan benar (IT Governance) untuk memenuhi kebutuhan bisnis maupun pelanggan. Pengelolaan teknologi informasi dalam suatu sistem manajemen TI dimaksudkan agar pelaku bisnis maupun pemerintahan dapat mengurangi paparan risiko operasional, memenuhi persyaratan kontrak, dan mampu menunjukkan kualitas layanan yang baik.

Pengelolaan Risiko dan Keberlanjutan Bisnis

Pengelolaan Risiko dan Keberlanjutan Bisnis

Pengelolaan risiko adalah kegiatan terkoordinasi untuk mengarahkan dan mengendalikan organisasi terkait dengan risiko. Setiap kejadian, besar atau kecil, bencana alam, kecelakaan atau kesengajaan memiliki potensi untuk menyebabkan gangguan besar bagi operasional organisasi dan kemampuannya untuk tetap mampu memberikan produk dan layanannya. Manajemen risiko dan pengelolaan keberlangsungan bisnis diperlukan untuk mempersiapkan organisasi mampu menangani gangguan insiden yang mungkin mencegahnya mencapai tujuan.

Menciptakan Kualitas Terbaik

Menciptakan Kualitas Terbaik

Sistem manajemen mutu/kualitas sebaiknya dibangun apabila suatu perusahaan/bisnis perlu menunjukkan kemampuannya dalam menyediakan produk yang memenuhi persyaratan pelanggan dan peraturan yang berlaku serta meningkatkan kepuasan pelanggan melalui penerapan sistem yang efektif, termasuk proses perbaikan berkesinambungan dan jaminan kesesuaian dengan kebutuhan/harapan pelanggan serta persyaratan hukum dan peraturan yang berlaku.

 

 

Peduli Lingkungan

Peduli Lingkungan

Manajemen lingkungan terkait oleh berbagai pelaku bisnis yang saat ini semakin meningkatkan kepedulian terhadap pencapaian kinerja pengelolaan lingkungan yang baik melalui pengendalian dampak lingkungan yang terkait dengan kegiatan, produk dan jasa yang dihasilkan pebisnis tersebut, konsisten dengan kebijakan dan tujuan lingkungan mereka. Hal tersebut dilaksanakan dalam konteks semakin ketatnya peraturan perundang-undangan, pengembangan kebijakan ekonomi dan perangkat lain yang mendorong perlindungan lingkungan; dan meningkatnya kepedulian pihak-pihak yang berkepentingan terhadap lingkungan dan pembangunan berkelanjutan.

 

 

 

 

 

Perubahan Standar ISO 27001:2005 menjadi ISO 27001:2013

Perubahan Standar ISO 27001:2005 menjadi ISO 27001:2013

Standar keamanan informasi ISO 27001 versi 2013 telah dipublikasikan pada tanggal 25 September 2013 oleh International Organization for Standardization (ISO). Standar ini disingkat dengan sebutan ISO 27001:2013, berisi spesifikasi bagi sistem manajemen keamanan informasi (information security management system). Dengan demikian standar ini membatalkan dan menggantikan standar versi sebelumnya yaitu ISO 27001:2005. Secara umum standar ISO 27001:2013 dikembangkan agar lebih selaras dengan standar sistem manajemen lainnya seperti ISO 9001 dan ISO 20000.

Perbedaan ISO 27001:2013 vs  ISO 27001:2005

Standar internasional ISO 27001:2013 menampilkan 114 kendali (control) dalam 14 kelompok domain, dibandingkan standar sebelumnya yang terdiri dari 133 kendali dalam 11 kelompok domain. Perubahan pada persyaratan revisi 2013 ini merefleksikan perubahan teknologi yang banyak berdampak pada kelangsungan bisnis saat ini, misalnya perkembangan teknologi komputasi awan (cloud computing).

Susunan kendali keamanan pada Annex A telah berubah menjadi:

  • A.5: Information security policies
  • A.6: Information security organisation
  • A.7: Human resources security
  • A.8: Asset management
  • A.9: Access controls and managing user access
  • A.10: Cryptographic technology
  • A.11: Physical security
  • A.12: Operational security
  • A.13: Secure communications and data transfer
  • A.14: Secure acquisition, development, and support of information systems
  • A.15: Security for suppliers and third parties
  • A.16: Incident management
  • A.17: Business continuity/disaster recovery
  • A.18: Compliance

Beberapa kendali keamanan baru (new security controls) yang ditambahkan pada ISO 27001:2013 ini di antaranya:

  • A.6.1.5 Information security in project management
  • A.12.6.2 Restrictions on software installation
  • A.14.2.1 Secure development policy
  • A.14.2.5 Secure system engineering principles
  • A.14.2.6 Secure development environment
  • A.14.2.8 System security testing
  • A.15.1.1 Information security policy for supplier relationships
  • A.15.1.3 Information and communication technology supply chain
  • A.16.1.4 Assessment of and decision on information security events
  • A.16.1.5 Response to information security incidents
  • A.17.2.1 Availability of information processing facilities

 Struktur standar ISO 27001:2013

1. Scope of the standard
2. How the document is referenced
3. Reuse of the terms and definitions in ISO/IEC 27000
4. Organizational context and stakeholders
5. Information security leadership and high-level support for policy
6. Planning an information security management system; risk assessment; risk treatment
7. Supporting an information security management system
8. Making an information security management system operational
9. Reviewing the system’s performance
10. Corrective action
Annex A: List of controls and their objectives.

Faktor Kunci Untuk Suksesnya Implementasi ISO Dalam UKM

Faktor Kunci Untuk Suksesnya Implementasi ISO Dalam UKM

Ada banyak faktor yang mempengaruhi keberhasilan pelaksanaan standar sistem manajemen oleh UKM.

1. Tetaplah pada sistem manajemen yang ada
Setiap organisasi yang tetap dalam bisnis dan mampu untuk menyediakan produk dan layanan kepada pelanggan mengoperasikan sistem manajemen, namun ramping atau informal. Sistem ini, dalam bentuk apapun, harus diambil sebagai dasar dan titik awal untuk menerapkan MSS seperti ISO 9001. Menerapkan ISO 9001 tidak berarti Anda “membangun” sebuah sistem (baru) manajemen mutu, tetapi Anda mengevaluasi praktek saat Anda terhadap manajemen ISO 9001 persyaratan, dan beradaptasi dan menambahkan jika diperlukan. Oleh karena itu, setiap sistem manajemen yang unik dan organisasi tidak harus membeli buku dari internet atau menerapkan prosedur standar yang disediakan oleh konsultan. Risikonya adalah bahwa alat ini mungkin tidak cocok, akan menambah birokrasi, tidak akan terlihat oleh karyawan sebagai menambahkan nilai – dan hanya mungkin diaktifkan saat audit sertifikasi tahunan sudah dekat!

Kesulitannya adalah untuk menghubungkan persyaratan abstrak ke kehidupan nyata proses dan praktik manajemen. Setelah sebuah organisasi telah mampu melakukan hal ini, sejauh mana persyaratan sudah terpenuhi – dan apa yang masih harus dilakukan dengan mengadaptasi dan bukan oleh pembangunan kembali – menjadi jelas. Praktek manajemen Informal kadang perlu diformalkan (misalnya, beberapa catatan harus dipertahankan untuk menunjukkan bahwa sesuatu telah dilakukan), tetapi dalam banyak kasus ini memberikan kontribusi kepada efektivitas dan efisiensi operasi, dan dengan demikian menambah nilai bagi organisasi.
figure 1
2. Sebuah sistem manajemen tidak identik dengan prosedur terdokumentasi
Sebuah sistem manajemen adalah alat untuk membantu mencapai tujuan organisasi. Setiap tindakan yang diambil harus konsisten dengan tujuan dasar dari sistem: apakah itu membantu dalam melakukan pekerjaan yang lebih baik, untuk menjadi lebih sukses, dan dalam mencapai rencana bisnis? Ada banyak tindakan yang dapat berkontribusi terhadap tujuan ini, misalnya meningkatkan kompetensi personil, mengadopsi “sangat mudah” perangkat teknis, dengan menggunakan piktogram, bentuk berguna untuk memeriksa dan mengisi (yang kemudian menjadi catatan juga), dll Namun, kita harus ragu sebelum menetapkan prosedur terdokumentasi yang luas, terutama dalam situasi UKM, karena dalam banyak kasus hal ini tidak sejalan dengan budaya organisasi dan praktek sehari-hari.
3. Carilah kesamaan antara standar sistem manajemen yang berbeda
Meskipun worded berbeda, semua standar sistem manajemen didasarkan pada konsep dasar yang sama:
Proses manajemen dan kontrol: memastikan bahwa proses memberikan hasil yang diharapkan dan persyaratan yang berlaku dipatuhi
Plan-Do-Check-Act pendekatan pengendalian manajemen dan proses: menetapkan tujuan, menetapkan proses yang diperlukan, memantau kemajuan dan kepatuhan, mengambil tindakan jika diperlukan, dan mempertimbangkan peningkatan peluang
Manajemen risiko: mengidentifikasi risiko yang memberikan ancaman dan peluang, dan menerapkan kontrol untuk meminimalkan efek negatif pada kinerja dan memaksimalkan potensi manfaat.
Manajemen mutu membawa risiko bahwa pelanggan tidak puas dan bahwa kualitas-terkait (legal dan pelanggan) persyaratan tidak terpenuhi. Risiko dalam pengelolaan lingkungan hidup adalah bahwa kinerja lingkungan tidak memenuhi persyaratan hukum, pemangku kepentingan harapan dan / atau tujuan organisasi itu sendiri kebijakan.
Tentukan unsur Standar sistem manajemen yang sangat mirip berdasarkan konsep-konsep yang harus menjadi bagian dari sistem manajemen keseluruhan organisasi. Mengingat persyaratan standar dengan konsep-konsep dasar dalam pikiran akan membantu UKM dalam menafsirkan dan menerapkannya secara terpadu.
4. Keep it simple
Kurang lebih baik dan kecil indah dalam banyak situasi di mana sistem manajemen yang diterapkan – terutama untuk UKM. Dengan menjaga tiga faktor kunci pertama dalam pikiran, UKM harus dapat menyesuaikan sistem agar sesuai dengan ukuran dan kompleksitas organisasi. Hal ini dimungkinkan untuk memenuhi persyaratan dari ISO 9001 dan ISO 14001 tanpa dokumentasi yang ekstensif.
Flowchart dan bentuk yang dalam banyak kasus lebih efektif daripada prosedur terdokumentasi, dan catatan sering memberikan nilai tambah dibandingkan deskripsi proses. Menentukan apa yang harus dilakukan adalah lebih baik untuk menggambarkan bagaimana melakukannya, dan dapat dilakukan lebih singkat. Adalah penting bahwa desain kontrol sejalan dengan budaya organisasi dan tingkat kompetensi personil.
Bukan hanya untuk organisasi besar
Manajemen sistem tidak hanya alat untuk organisasi besar. Mengingat kecenderungan kegiatan outsourcing dan semakin pentingnya kerjasama dalam rantai nilai, sistem manjemen efektif yang dilaksanakan oleh UKM adalah kunci penting dalam memfasilitasi perdagangan dan mempromosikan pembangunan berkelanjutan.
ISO dapat diimplementasikan secara terpadu oleh UKM, dan dapat menambah nilai bagi bisnis mereka selama beberapa faktor kunci keberhasilan diperhitungkan. ISO telah menerbitkan pedoman yang bermanfaat dan UKM akan mengembangkan standar masa depan dengan cara yang memfasilitasi implementasi dan integrasi standar ganda.
(Sumber: ISO Magazine, konsultaniso/ims/sistemmanajemenintegrasi)